ASP .NET Core 自定义授权属性，用于查看用户自己的数据

如何解决ASP .NET Core 自定义授权属性，用于查看用户自己的数据

场景：具有“查看”权限的用户 1 可以查看列表中的所有其他用户个人资料，当他们点击个人资料时，他们将被定向到该个人资料页面。

没有权限的用户 2 可以查看用户个人资料列表，但只能点击自己的个人资料查看，否则会被重定向到禁止访问。

不确定实施此授权检查的最佳方法。目前正在尝试使用这个问题的答案：Adding .Net Core Policy with variable Parameters on Requirements

但我不知道如何从该控制器方法发送 id 参数并首先检查用户是否具有“查看”权限

[HttpGet("{id:int:min(1)}")]
[CustomAuthorizeAttribute(id)] // doesnt work
public async Task<ActionResult> GetUser(int id)

解决方法

在那个解决方案中，该参数是开发中的某个值，不是从路由中获取的。 [CustomAuthorizeAttribute(id)] 在项目启动时被扫描，它不同于 [HttpGet("{id:int:min(1)}")]。

在这种情况下，我认为您不需要定义 CustomAuthorizeAttribute。如果一个用户可以查看所有个人资料，则需要在生成令牌时为该用户添加声明 View。

new Claim("Permission","View")

在GetUser的时候，只需要判断用户是否有claim。

    [HttpGet("{id:int:min(1)}")]
    public async Task<ActionResult> GetUser(int id)
    {
        if(User.Claims.Contains(new Claim("Permission","View")))
        {
            //...
            return View();
        }else if(User.Claims.Contains(new Claim("id",id.ToString())))
        {
            //own id can view own profile
            return View();
        }
        else
        {
            return Forbid();
        }
    }